L'un des conseils les plus courants en matière de sécurité des comptes est que les utilisateurs doivent changer régulièrement leurs mots de passe. Le raisonnement derrière cette approche est de minimiser la durée de validité d'un mot de passe, au cas où il serait compromis. Toute cette stratégie est basée sur les conseils historiques des meilleurs groupes de cybersécurité tels que le NIST américain ou le National Institute of Standards and Technology.
Pendant des décennies, les gouvernements et les entreprises ont suivi ce conseil et forcé leurs utilisateurs à réinitialiser régulièrement les mots de passe, généralement tous les 90 jours. Au fil du temps, cependant, la recherche a montré que cette approche ne fonctionnait pas comme prévu et en 2017 NIST avec le Royaume-Uni NCSC, ou National Cyber Security Center, a modifié son avis pour n'exiger les changements de mot de passe que lorsqu'il existe des soupçons raisonnables de compromission.
Pourquoi les conseils ont-ils été modifiés ?
Le conseil de changer régulièrement les mots de passe a été initialement mis en œuvre pour aider à augmenter la sécurité. D'un point de vue purement logique, le conseil d'actualiser régulièrement les mots de passe est logique. L'expérience du monde réel est cependant légèrement différente. La recherche a montré que forcer les utilisateurs à changer régulièrement leurs mots de passe les rendait beaucoup plus susceptibles de commencer à utiliser un mot de passe similaire qu'ils pouvaient simplement incrémenter. Par exemple, plutôt que de choisir des mots de passe comme « 9L=Xk&2> », les utilisateurs utiliseraient plutôt des mots de passe comme « Spring2019! ».
Il s'avère que, lorsqu'ils sont obligés de créer et de mémoriser plusieurs mots de passe, puis de les changer régulièrement, les gens utilisent systématiquement des mots de passe faciles à mémoriser qui sont moins sûrs. Le problème avec les mots de passe incrémentiels comme "Spring2019!" est qu'ils sont faciles à deviner et qu'ils permettent ensuite de prédire facilement les changements futurs. Combiné, cela signifie que forcer les réinitialisations de mot de passe pousse les utilisateurs à choisir plus facile à retenir et donc des mots de passe plus faibles, qui sapent généralement activement l'avantage escompté de réduire les futurs risque.
Par exemple, dans le pire des cas, un pirate informatique pourrait compromettre le mot de passe « Spring 2019! » dans les quelques mois suivant sa validité. À ce stade, ils peuvent essayer des variantes avec « Automne » au lieu de « Printemps » et ils sont susceptibles d'y accéder. Si l'entreprise détecte cette faille de sécurité et oblige ensuite les utilisateurs à modifier leurs mots de passe, il est assez probablement que l'utilisateur concerné changera simplement son mot de passe en « Winter2019! » et pense qu'ils sont sécurise. Le pirate informatique, connaissant le modèle, peut très bien essayer cela s'il parvient à y accéder à nouveau. Selon la durée pendant laquelle un utilisateur s'en tient à ce modèle, un attaquant pourrait l'utiliser pour y accéder sur plusieurs années, tout en se sentant en sécurité car il modifie régulièrement son mot de passe.
Quel est le nouveau conseil ?
Pour aider à encourager les utilisateurs à éviter les mots de passe stéréotypés, le conseil est désormais de ne réinitialiser les mots de passe que lorsqu'il existe un soupçon raisonnable qu'ils ont été compromis. En n'obligeant pas les utilisateurs à se souvenir régulièrement d'un nouveau mot de passe, ils sont plus susceptibles de choisir un mot de passe fort en premier lieu.
À cela s'ajoutent un certain nombre d'autres recommandations visant à encourager la création de mots de passe plus forts. Il s'agit notamment de s'assurer que tous les mots de passe comportent au moins huit caractères au minimum absolu et que le nombre maximal de caractères est d'au moins 64 caractères. Il a également recommandé que les entreprises commencent à s'éloigner des règles de complexité vers l'utilisation de listes de blocage en utilisant des dictionnaires de mots de passe faibles tels que "ChangeMe!" et « Mot de passe1 » qui répondent à de nombreuses complexités conditions.
La communauté de la cybersécurité convient presque à l'unanimité que les mots de passe ne doivent pas expirer automatiquement.
Remarque: Malheureusement, dans certains scénarios, il peut toujours être nécessaire de le faire, car certains gouvernements n'ont pas encore modifié les lois exigeant l'expiration du mot de passe pour les systèmes sensibles ou classifiés.